Eksportuj (0) Drukuj
Rozwiń wszystko

Zapora systemu Windows w systemie Windows Server 2003 z dodatkiem Service Pack 1

Jakie funkcje pełni Zapora systemu Windows?

Zapora systemu Windows (nosząca poprzednio nazwę „Zapora połączenia internetowego”) jest programową, stanową zaporą filtrującą dla systemów Microsoft Windows XP i Microsoft Windows Server 2003. Zapewnia ona ochronę komputerów podłączonych do sieci, blokując niepożądany ruch przychodzący za pośrednictwem protokołu TCP/IP w wersji 4 (IPv4) i w wersji 6 (IPv6). Opcje konfiguracji zapory obejmują:

  • konfigurowanie i włączanie wyjątków opartych na portach,
  • konfigurowanie i włączanie wyjątków opartych na programach,
  • konfigurowanie podstawowych opcji protokołu komunikacyjnego sterowania internetem,
  • rejestrowanie porzuconych pakietów i udanych połączeń.

W systemie Windows Server 2003 z dodatkiem Service Pack 1 Zapora systemu Windows nie jest domyślnie włączona po zaktualizowaniu serwera. Zapora zostanie włączona tylko w następujących sytuacjach:

  • Jeśli było poprzednio włączone udostępnianie połączenia internetowego.
  • Jeśli była poprzednio włączona Zapora połączenia internetowego.
  • Jeśli na serwerze została przeprowadzona nowa instalacja systemu Windows Server 2003 z dodatkiem Service Pack 1 (nazywana także instalacją zintegrowaną).

Najlepszym źródłem informacji na temat działania Zapory systemu Windows i sposobów jej zastosowania w danym środowisku są informacje i tematy Pomocy w witrynie sieci Web centrum technicznego systemu Windows Server 2003 znajdujące się pod adresem http://go.microsoft.com/fwlink/?LinkId=48911 oraz przewodnik dotyczący obsługi zapór systemu Windows w witrynie sieci Web centrum technicznego systemu Windows Server 2003 pod adresem http://go.microsoft.com/fwlink/?LinkId=48912.

noteUwaga
W przypadku planowania używania Zapory systemu Windows na serwerze zalecane jest ponowne uruchomienie serwerów po włączeniu i skonfigurowaniu zapory. Zapora systemu Windows w systemie Windows Server 2003 z dodatkiem Service Pack 1 obsługuje obecnie wyjątki aplikacji i przechowuje informacje o ich stanie. W efekcie dowolne aplikacje lub usługi dodane do listy wyjątków zapory, które działały przed uruchomieniem zapory, nie będą funkcjonować prawidłowo. Po ponownym uruchomieniu serwera zapora rozpocznie działanie przed wszystkimi aplikacjami umieszczonymi na liście wyjątków i dzięki temu będzie mogła pomyślnie zachować ich stan i prawidłowo je obsługiwać.

Dla kogo ta funkcja jest przeznaczona?

Ta funkcja dotyczy:

  • wszystkich komputerów podłączonych do sieci, m.in. do Internetu;
  • wszystkich programów (aplikacji i usług), które prowadzą nasłuchiwanie sieci;
  • wszystkich programów, które nie współdziałają z filtrowaniem stanowym.

Jaką nową funkcjonalność dodano do tej funkcji w systemie Windows Server 2003 z dodatkiem Service Pack 1?

Integracja Zapory połączenia internetowego i Zapory połączenia internetowego IPv6 w Zaporze systemu Windows

Szczegółowy opis

Wersja Zapory połączenia internetowego wprowadzona w systemie Windows XP filtrowała tylko ruch odbywający się za pośrednictwem protokołu IPv4. Zapora połączenia internetowego IPv6 została udostępniona w pakiecie Advanced Networking Pack dla systemu Windows XP. W systemie Windows Server 2003 z dodatkiem Service Pack 1 Zapora połączenia internetowego i Zapora połączenia internetowego IPv6 są zintegrowane w pojedynczym składniku noszącym nazwę Zapora systemu Windows.

Dzięki temu wszelkie zmiany konfiguracji mają zastosowanie do ruchu odbywającego się zarówno za pośrednictwem protokołu IPv4, jak i IPv6. Na przykład otwarcie portu statycznego udostępnia go dla ruchu odbywającego się za pośrednictwem obu protokołów: IPv4 i IPv6.

Dlaczego ta zmiana jest ważna?

Ułatwia ona zarządzanie konfiguracją i zwiększa zgodność aplikacji.

Co zostało zmienione?

Usługa Zapora połączenia internetowego została usunięta z systemu i zastąpiona usługą Zapora systemu Windows, która filtruje ruch odbywający się za pośrednictwem protokołów IPv4 i IPv6. Wszystkie interfejsy API zapory zostały zastąpione nowymi interfejsami API wprowadzonymi w systemie Windows Server 2003 z dodatkiem Service Pack 1.

Jak rozwiązać te problemy?

Aby uzyskać więcej informacji, zobacz „Czy do pracy z systemem Windows Server 2003 z dodatkiem Service Pack 1 wymagana jest zmiana kodu?” w dalszej części tego dokumentu.

Domyślne włączanie w nowych instalacjach systemu Windows Server 2003 z dodatkiem Service Pack

Szczegółowy opis

Zapora systemu Windows jest włączana domyślnie tylko podczas nowych instalacji systemu Windows Server 2003 z dodatkiem Service Pack (nazywanych także instalacjami zintegrowanymi). Zapora systemu Windows zapewnia ochronę sieci podczas aktualizowania systemów przez użytkowników za pomocą najnowszych poprawek przy użyciu nowej funkcji Poinstalacyjne aktualizacje zabezpieczeń. Natychmiast po zainstalowaniu poprawek zapora zostaje wyłączona, o ile nie została włączona w sposób jawny.

Jeśli serwer z systemem Windows Server 2003 jest aktualizowany lub uaktualniany za pomocą dodatku Service Pack 1, zapora jest domyślnie wyłączona, a funkcja Poinstalacyjne aktualizacje zabezpieczeń nie jest używana.

Dlaczego ta zmiana jest ważna? Jakie zagrożenia pozwala zminimalizować?

Dzięki domyślnemu włączeniu Zapory systemu Windows w nowych instalacjach komputer jest skuteczniej chroniony przed wieloma atakami sieciowymi w trakcie procesu konfigurowania. Gdyby na przykład Zapora systemu Windows była włączona domyślnie, skutki ataku wirusa MSBlaster byłyby znacznie ograniczone, niezależnie od tego, czy użytkownicy zainstalowali na komputerach odpowiednie aktualizacje.

Co zostało zmienione?

W przypadku nowej instalacji zintegrowanej wersji systemu Windows Server 2003 z dodatkiem Service Pack 1 Zapora systemu Windows jest domyślnie włączona i ruch przychodzący jest blokowany do momentu zakończenia działania funkcji Poinstalacyjne aktualizacje zabezpieczeń. Może to być przyczyną niezgodności aplikacji lub usług, jeśli nie współpracują one domyślnie z filtrowaniem stanowym.

Jak rozwiązać te problemy?

Przed przystąpieniem do jakichkolwiek innych zadań dotyczących konfigurowania serwera należy użyć funkcji Poinstalacyjne aktualizacje zabezpieczeń, która automatycznie wyłączy zaporę.

Można również skonfigurować zaporę do współpracy z wymaganymi aplikacjami lub usługami, jeśli użytkownik chce wykonać Poinstalacyjne aktualizacje zabezpieczeń w późniejszym terminie.

Konfigurowanie za pomocą Kreatora konfiguracji zabezpieczeń

Szczegółowy opis

Zalecanym sposobem włączenia Zapory systemu Windows i przeprowadzenia jej wstępnej konfiguracji w systemie Windows Server 2003 z dodatkiem Service Pack 1 jest użycie Kreatora konfiguracji zabezpieczeń (SCW, Security Configuration Wizard). Kreator automatycznie włączy Zaporę systemu Windows i utworzy odpowiednie ustawienia z uwzględnieniem wymagań serwera. Aby uzyskać więcej informacji o Kreatorze konfiguracji zabezpieczeń, zobacz sekcję „Kreator konfiguracji zabezpieczeń” w tym dokumencie.

Dlaczego ta zmiana jest ważna?

Niektóre składniki serwera i aplikacje nie powinny być używane razem z Zaporą systemu Windows lub powinny być używane tylko w określonych konfiguracjach. Do ustalania zalecanych ustawień Zapory systemu Windows dla danego środowiska służy Kreator konfiguracji zabezpieczeń.

Zabezpieczenia czasu rozruchu

Szczegółowy opis

We wcześniejszych wersjach systemu Windows między włączeniem stosu sieciowego a uruchomieniem ochrony zapewnianej przez Zaporę połączenia internetowego upływa pewien czas. W efekcie występuje możliwość odebrania i dostarczenia pakietu do usługi bez filtrowania ze strony Zapory połączenia internetowego, co potencjalnie naraża komputer na ataki. Było to spowodowane tym, że sterownik zapory nie uruchamiał filtrowania, dopóki nie została załadowana usługa zapory trybu użytkownika i zastosowane odpowiednie ustawienia zasad. Usługa zapory zawiera określone zależności, które powodują oczekiwanie usługi na spełnienie ich wymagań przed przekazaniem zasady do sterownika. Długość tego czasu jest zależna od szybkości działania komputera.

W systemie Windows Server 2003 z dodatkiem Service Pack 1 sterowniki zapory IPv4 i IPv6 zawierają statyczną regułę wymuszającą przeprowadzanie filtrowania stanowego. Ta reguła nosi nazwę zasady czasu rozruchu. Dzięki temu komputer może wykonywać podstawowe funkcje sieciowe, takie jak obsługa systemu DNS i usługi DHCP, oraz komunikować się z kontrolerem domeny w celu pobrania ustawień zasad. Po uruchomieniu usługi Zapora systemu Windows następuje załadowanie i zastosowanie ustawień zasad czasu wykonania. Zasady czasu rozruchu nie można konfigurować.

Zabezpieczenie czasu rozruchu nie działa, jeżeli Zapora systemu Windows (wymieniona w Menedżerze sterowania usługami jako Zapora systemu Windows/Udostępnianie połączenia internetowego) została skonfigurowana jako ustawiana ręcznie lub wyłączona.

Dlaczego ta zmiana jest ważna? Jakie zagrożenia pozwala zminimalizować?

Dzięki tej zmianie komputer jest w mniejszym stopniu narażony na ataki w czasie uruchamiania i zamykania systemu.

Co zostało zmienione?

Jeśli usługa Zapora systemu Windows nie zostanie uruchomiona pomyślnie, nadal aktywne są zabezpieczenia czasu rozruchu. Oznacza to, że wszystkie połączenia przychodzące będą blokowane. W związku z tym administrator nie będzie mógł zdalnie rozwiązać tego problemu, ponieważ wszystkie porty będą zamknięte, w tym port używany przez Pulpit zdalny.

Jeśli zostanie podjęta próba uruchomienia innej usługi przed uruchomieniem usługi zapory, może wystąpić sytuacja „wyścigu”. Jeśli potrzebna usługa zostanie w wyniku tego zablokowana, trzeba będzie wyłączyć Zaporę systemu Windows.

Jak rozwiązać te problemy?

Aby wyłączyć zabezpieczenia czasu rozruchu, należy zatrzymać usługę Zapora systemu Windows/Udostępnianie połączenia internetowego i ustawić typ uruchamiania usługi Ręcznie lub Wyłączone.

Jeśli komputer działa w trybie zabezpieczeń czasu rozruchu ze względu na to, że usługa zapory nie została uruchomiona, administrator musi zalogować się na komputerze, usunąć przyczynę awarii, a następnie ręcznie uruchomić usługę zapory.

Praca w trybie awaryjnym (tryb awaryjny zapory)

Szczegółowy opis

Stan zapory jest zachowywany po uruchomieniu serwera w trybie awaryjnym.

Dlaczego ta zmiana jest ważna?

Dzięki wprowadzeniu tej zmiany komputer jest mniej podatny na atak podczas uruchamiania w trybie awaryjnym z obsługą sieci.

Co zostało zmienione?

W poprzednich wersjach Zapora połączenia internetowego nie była dostępna po uruchomieniu w trybie awaryjnym.

Konfiguracja globalna

Szczegółowy opis

We wcześniejszych wersjach systemu Windows Zapora połączenia internetowego była konfigurowana oddzielnie dla poszczególnych interfejsów. W konsekwencji dla każdego połączenia sieciowego istniał oddzielny zestaw ustawień zapory, np. jeden zestaw ustawień dla połączenia bezprzewodowego, a inny dla połączenia Ethernet. Utrudniało to synchronizowanie ustawień zapory między połączeniami. Ponadto w nowych połączeniach nie były stosowane żadne zmiany konfiguracji, jakie wprowadzono w istniejących połączeniach. Nie mogły też być chronione niestandardowe połączenia sieciowe, m.in. połączenia tworzone przez własnościowe moduły telefoniczne (np. sieciowe połączenia telefoniczne konfigurowane przez usługodawcę internetowego).

Dzięki konfiguracji globalnej Zapory systemu Windows każda zmiana konfiguracji jest automatycznie stosowana do wszystkich połączeń sieciowych w folderze Połączenia sieciowe, w tym do wszelkich modułów telefonicznych innych firm niż Microsoft. Po utworzeniu nowych połączeń konfiguracja jest stosowana również do nich. Nadal możliwe jest przeprowadzenie konfiguracji oddzielnie dla poszczególnych interfejsów. W przypadku niestandardowych połączeń sieciowych będzie używana wyłącznie konfiguracja globalna. Zmiany w konfiguracji mają również zastosowanie do protokołów IPv4 i IPv6.

Dlaczego ta zmiana jest ważna?

Użycie konfiguracji globalnej ułatwia użytkownikom zarządzanie zasadami zapory obejmującymi wszystkie połączenia sieciowe i umożliwia konfigurowanie za pośrednictwem zasad grupy. Pozwala również na uaktywnianie aplikacji do działania za pośrednictwem dowolnego interfejsu przy użyciu pojedynczej opcji konfiguracji.

Co zostało zmienione?

We wcześniejszych wersjach systemu Windows Server zapora była konfigurowana oddzielnie dla poszczególnych interfejsów. W systemie Windows Server 2003 z dodatkiem Service Pack 1 konfiguracja ma charakter globalny i jest stosowana do protokołów IPv4 i IPv6.

Jak rozwiązać te problemy?

Jeśli aplikacja lub usługa wymaga do działania statycznego otwarcia portów, należy otworzyć porty globalnie w sposób opisany w dalszej części tego tematu w sekcji „Czy do pracy z systemem Windows Server 2003 z dodatkiem Service Pack 1 jest wymagana zmiana kodu?”.

Rejestrowanie inspekcji

Szczegółowy opis

Rejestrowanie inspekcji umożliwia śledzenie zmian wprowadzonych w ustawieniach Zapory systemu Windows i sprawdzenie, które aplikacje i usługi zgłaszały do komputera żądanie nasłuchiwania portu. Po włączeniu rejestrowania inspekcji zdarzenia inspekcji będą rejestrowane w dzienniku zdarzeń zabezpieczeń. Rejestrowanie inspekcji można włączyć na komputerach klienckich z systemem Windows XP z dodatkiem Service Pack 2 i na serwerach z systemem Windows Server 2003 z dodatkiem Service Pack 1. Aby włączyć na komputerze rejestrowanie inspekcji, należy postępować zgodnie z następującą procedurą.

Aby włączyć rejestrowanie inspekcji
  1. Zaloguj się, używając konta należącego do lokalnej grupy Administratorzy.

  2. Kliknij przycisk Start, a następnie kliknij kolejno polecenia Panel sterowania i Narzędzia administracyjne.

  3. W aplecie Narzędzia administracyjne kliknij dwukrotnie ikonę Zasady zabezpieczeń lokalnych, aby otworzyć konsolę Ustawienia zabezpieczeń lokalnych.

  4. W drzewie konsoli Ustawienia zabezpieczeń lokalnych kliknij pozycję Zasady lokalne, a następnie kliknij pozycję Zasady inspekcji.

  5. W okienku szczegółów konsoli Ustawienia zabezpieczeń lokalnych kliknij dwukrotnie ikonę Przeprowadź inspekcję zmian zasad. Zaznacz pola wyboru Sukces i Niepowodzenie, a następnie kliknij przycisk OK.

  6. W okienku szczegółów konsoli Ustawienia zabezpieczeń lokalnych kliknij dwukrotnie ikonę Przeprowadź inspekcję śledzenia procesów. Zaznacz pola wyboru Sukces i Niepowodzenie, a następnie kliknij przycisk OK.

Można również włączyć rejestrowanie inspekcji dla wielu komputerów w domenie usługi katalogowej Active Directory przy użyciu zasad grupy, modyfikując ustawienia Przeprowadź inspekcję zmian zasad i Przeprowadź inspekcję śledzenia procesów w węźle Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Zasady lokalne\Zasady inspekcji dla obiektów zasad grupy w odpowiednich kontenerach systemowych domeny.

Po włączeniu rejestrowania inspekcji można za pomocą przystawki Podgląd zdarzeń przeglądać zdarzenia inspekcji w dzienniku zdarzeń zabezpieczeń.

Stosowane są następujące identyfikatory zdarzeń związane z Zaporą systemu Windows:

  • 848 — początkowa konfiguracja Zapory systemu Windows.
  • 849 — konfiguracja wyjątku dla aplikacji.
  • 850 — konfiguracja wyjątku dla portu.
  • 851 — zmiana wprowadzona na liście wyjątków dla aplikacji.
  • 852 — zmiana wprowadzona na liście wyjątków dla portów.
  • 853 — zmiana trybu pracy Zapory systemu Windows.
  • 854 — zmiana ustawień rejestrowania Zapory systemu Windows.
  • 855 — zmiana ustawień protokołu komunikacyjnego sterowania Internetem ICMP.
  • 856 — zmiana ustawienia Zabroń odpowiedzi emisji pojedynczej na żądania emisji lub multiemisji.
  • 857 — zmiana ustawienia Administracja zdalna.
  • 858 — zastosowanie ustawień zasad grupy Zapory systemu Windows.
  • 859 — usuwanie ustawień zasad grupy Zapory systemu Windows.
  • 860 — zmiana wprowadzona w innym profilu.
  • 861 — próba nasłuchiwania ruchu przychodzącego w aplikacji.

Dlaczego ta zmiana jest ważna?

Inspekcja aktywności Zapory systemu Windows jest elementem zaawansowanej strategii obrony, która umożliwia alarmowanie o szkodliwym oprogramowaniu usiłującym zmodyfikować ustawienia zapory. Inspekcja pomaga także zazwyczaj administratorom określić potrzeby aplikacji sieciowych, a także projektować odpowiednie zasady ich wdrażania dla dużej liczby użytkowników.

Określanie zakresu ruchu dla wyjątków

Szczegółowy opis

W przypadku zapory połączenia internetowego ruch sieciowy znajdujący się na liście wyjątków mógł pochodzić z dowolnego adresu IPv4. Zapora systemu Windows w systemie Windows Server 2003 z dodatkiem Service Pack 1 również pozwala na skonfigurowanie wyjątku, który zezwala na ruch przychodzący wyłącznie z adresów, które są bezpośrednio osiągalne po wybraniu opcji zakresu Tylko moja sieć (podsieć) (na podstawie wpisów w tabeli routingu IPv4 i IPv6), albo z określonego zakresu adresów IPv4 po wybraniu opcji zakresu Lista niestandardowa.

W przypadku komputerów należących do grupy roboczej niektóre wyjątki są domyślnie ograniczone do adresów osiągalnych lokalnie. Te wyjątki są niezbędne na potrzeby udostępniania plików i drukarek oraz obsługi architektury UPnP. Ponadto jeśli te wyjątki zostaną otwarte dla adresów osiągalnych lokalnie na hoście udostępniania połączenia internetowego, to nie będą otwarte na publicznym interfejsie udostępniania połączenia internetowego. Jeśli te wyjątki zostaną włączone dla wszystkich możliwych adresów, będą też otwarte na publicznym interfejsie udostępniania połączenia internetowego, co nie jest zalecane. Jeśli wbudowany wyjątek Udostępnianie plików i drukarek zostanie włączony za pośrednictwem interfejsu programowania aplikacji NetShare, Kreatora konfiguracji sieci lub interfejsu użytkownika Zapory systemu Windows, przychodzące żądania połączenia dotyczące udostępniania plików i drukarek domyślnie będą mogły napływać tylko z bezpośrednio osiągalnych adresów.

Podczas włączania Zapory systemu Windows na serwerze skonfigurowanym w celu udostępniania plików i drukarek może zostać automatycznie włączony wyjątek udostępniania plików i drukarek. Zaleca się natomiast stosowanie ograniczenia adresów osiągalnych lokalnie do dowolnego wyjątku używanego dla celów komunikacji w obrębie sieci lokalnej. Można to wykonać programowo w wierszu polecenia przy użyciu Pomocnika narzędzia Netsh Zapory systemu Windows, klikając aplet Zapora systemu Windows w Panelu sterowania.

noteUwaga
Zaleca się ustalenie własnych zakresów adresów lub podsieci, dla których zostaną skonfigurowane wyjątki Zapory systemu Windows. Skonfigurowanie i włączenie wyjątku spowoduje przepuszczanie określonego niezamówionego ruchu przychodzącego przesyłanego ze wskazanego zakresu adresów (z dowolnego adresu, z adresu osiągalnego bezpośrednio lub z adresu z listy niestandardowej) w Zaporze systemu Windows. W przypadku każdego zakresu włączenie wyjątku zwiększa podatność komputera na ataki oparte na niezamówionym ruchu przychodzącym z komputerów mających przypisane dozwolone adresy oraz z komputerów złośliwych, fałszujących adresy w ruchu sieciowym. Atakom z Internetu, w których są używane sfałszowane adresy w połączeniach z publicznych adresów IPv4, nie sposób zapobiec inaczej niż wyłączając dany wyjątek. Dlatego należy próbować tak konfigurować opcje zakresu, aby minimalizować liczbę komputerów mogących przesyłać niezamówiony ruch za sprawą wyjątków. Można w ten sposób zmniejszyć prawdopodobieństwo ataku z fałszowaniem adresów, choć nie można go całkiem wyeliminować. Jeśli zasady zabezpieczeń jednostki organizacyjnej wymagają zapewnienia, aby nikt spoza wewnętrznej sieci nie miał dostępu do jej zasobów, należy rozważyć zastosowanie innych środków, np. protokołu IPsec, który zapewnia uwierzytelnianie partnerów na poziomie sieci, uwierzytelnianie pochodzenia danych, integralność i poufność (szyfrowanie) danych, a także ochronę przed odtwarzaniem danych.

Dlaczego ta zmiana jest ważna? Jakie zagrożenia pozwala zminimalizować?

Niektóre aplikacje wymagają komunikacji wyłącznie z innymi komputerami w sieci lokalnej, a nie z komputerami w Internecie. Skonfigurowanie Zapory systemu Windows w taki sposób, aby dozwolony był jedynie ruch z adresów osiągalnych lokalnie lub określonych zakresów adresów odpowiadających lokalnie przyłączonym podsieciom ogranicza zestaw adresów, z których jest przyjmowany niechciany ruch przychodzący. Zmniejsza to ryzyko wystąpienia ataków związanych z włączonymi wyjątkami, ale nie zapewnia ich wyeliminowania.

Co zostało zmienione?

Po włączeniu wbudowanego wyjątku udostępniania plików i drukarek lub wyjątku obsługi architektury UPnP przy użyciu Panelu sterowania na komputerze należącym do grupy roboczej dla otwartych portów zostanie zastosowany zakres adresów osiągalnych lokalnie. Jeśli z portów tych korzysta aplikacja lub usługa, będzie mogła komunikować się tylko z innymi węzłami, do których przypisano adresy osiągalne lokalnie. Jeśli jednak komputer jest członkiem domeny, zostanie zastosowany zakres globalny.

Jeśli te wyjątki zostaną włączone przy użyciu wywołania interfejsu API lub narzędzia Netsh.exe, a nie przy użyciu Panelu sterowania, zostanie domyślnie zastosowany zakres adresów osiągalnych lokalnie, niezależnie od przynależności komputera do grupy roboczej lub domeny.

Jak rozwiązać te problemy?

Jeśli aplikacja lub usługa nie współpracuje z ograniczeniem tego typu, należy otworzyć odpowiedni port dla wszystkich komputerów w sposób opisany w dalszej części tego dokumentu w sekcji „Czy do pracy z systemem Windows Server 2003 z dodatkiem Service Pack 1 jest wymagana zmiana kodu?”

Obsługa wiersza polecenia

Szczegółowy opis

Pomocnik narzędzia Netsh Zapory systemu Windows został dodany do systemu Windows XP w pakiecie Advanced Networking Pack. Ten pomocnik stosowany był tylko do Zapory systemu Windows IPv6. W systemie Windows Server 2003 z dodatkiem Service Pack 1 struktura i składnia pomocnika zostały zmienione oraz rozszerzone o obsługę konfigurowania protokołu IPv4. Przy użyciu Pomocnika narzędzia Netsh można przeprowadzić pełną konfigurację Zapory systemu Windows, w tym wykonywać następujące zadania:

  • Konfigurowanie domyślnego stanu Zapory systemu Windows (Wyłączona, Włączona, Włączona bez wyjątków).
  • Konfigurowanie portów, które należy otworzyć.
  • Konfigurowanie portów w celu umożliwienia dostępu globalnego lub w celu ograniczenia dostępu do podsieci lokalnej.
  • Konfigurowanie portów w celu otwarcia ich dla wszystkich interfejsów lub tylko dla określonego interfejsu.
  • Konfigurowanie opcji rejestrowania.
  • Konfigurowanie opcji obsługi protokołu komunikacyjnego sterowania Internetem (ICMP, Internet Control Message Protocol).
  • Konfigurowanie i włączanie wyjątków opartych na programach.

Informacje o konfiguracji i stanie Zapory systemu Windows można uzyskać w wierszu polecenia, korzystając z kontekstu narzędzia Netsh.exe. firewall.

Aby użyć tego kontekstu, należy wpisać w wierszu polecenia netsh firewall, po czym można używać innych poleceń narzędzia Netsh, w zależności od potrzeb.

Następujące polecenia pozwalają uzyskać informacje o stanie i konfiguracji zapory i mogą być przydatne podczas rozwiązywania problemów związanych z działaniem zapory:

  • Netsh firewall show state
  • Netsh firewall show config

Wymienione niżej polecenia umożliwiają modyfikację konfiguracji Zapory systemu Windows.

 

Polecenie Opis

add allowedprogram

Pozwala dodać ruch objęty wyjątkiem przez określenie nazwy pliku programu.

set allowedprogram

Pozwala zmodyfikować ustawienia istniejącego wyjątku dla dozwolonego programu.

delete allowedprogram

Pozwala usunąć istniejący wyjątek dla dozwolonego programu.

set icmpsetting

Pozwala określić dozwolony ruch ICMP.

set logging

Umożliwia określenie opcji rejestrowania.

set notifications

Pozwala określić, czy powiadomienia dla użytkowników wyświetlane podczas prób otwierania portów w programach są włączone.

set opmode

Pozwala zdefiniować tryb operacyjny Zapory systemu Windows — globalnie lub dla określonego połączenia (interfejsu).

add portopening

Pozwala dodać ruch objęty wyjątkiem przez określenie portu TCP lub UDP.

set portopening

Pozwala zmodyfikować ustawienia istniejącego wyjątku dla otwartego portu TCP lub UDP.

delete portopening

Pozwala usunąć istniejący wyjątek otwartego portu TCP lub UDP.

set service

Pozwala określić ruch związany ze zdalnym wywoływaniem procedur (RPC), modelem DCOM, pulpitem zdalnym, udostępnianiem plików i drukarek oraz architekturą UPnP jako ruch dozwolony lub odrzucany.

reset

Przywraca domyślną konfigurację zapory. Funkcja tego polecenia jest taka sama jak funkcja przycisku Przywróć domyślne w oknie dostępnym po wybraniu apletu Panel sterowania/Zapora systemu Windows.

W poniższej tabeli wymieniono polecenia show obsługiwane przez Zaporę systemu Windows.

 

Polecenie Opis

show allowedprogram

Wyświetla dozwolone programy.

show config

Wyświetla szczegółowe informacje o konfiguracji lokalnej.

show currentprofile

Wyświetla bieżący profil.

show icmpsetting

Wyświetla ustawienia protokołu ICMP.

show logging

Wyświetla ustawienia rejestrowania.

show notification settings

Wyświetla bieżące ustawienia powiadomień.

show opmode

Umożliwia wyświetlenie trybu operacyjnego profilów i interfejsów.

show portopening

Wyświetla porty objęte wyjątkami.

show service

Umożliwia wyświetlenie ustawień wyjątków dla usług.

show state

Wyświetla bieżące informacje o stanie.

Dane wynikowe tych poleceń można porównać z danymi wynikowymi polecenia netstat –ano, aby ustalić programy, w których mogą być otwarte porty w celu nasłuchu, ale w konfiguracji zapory nie ma odpowiednich wyjątków.

Dlaczego ta zmiana jest ważna?

Interfejs wiersza polecenia umożliwia administratorom konfigurowanie Zapory systemu Windows bez użycia graficznego interfejsu użytkownika. Interfejs wiersza polecenia może służyć do obsługi skryptów logowania i zdalnego zarządzania.

Co zostało zmienione?

Żaden ze skryptów utworzonych przy użyciu Pomocnika narzędzia Netsh, które zostały udostępnione w pakiecie Advanced Networking Pack dla systemu Windows XP, nie będzie działać i wszystkie będą wymagać aktualizacji.

Jak rozwiązać te problemy?

Należy zaktualizować wszelkie posiadane skrypty, tak aby uwzględniały nowy kontekst i składnię zapory.

Tryb operacyjny „Włączona bez wyjątków”

Szczegółowy opis

Zaporę systemu Windows można skonfigurować do obsługi wyjątków tak, aby zezwolić na określony niechciany ruch przychodzący podczas normalnego korzystania z zapory. Zwykle jest to podyktowane koniecznością włączenia kluczowych scenariuszy, np. udostępniania plików i drukarek. W przypadku wykrycia problemu związanego z zabezpieczeniami, który dotyczy jednej lub większej liczby usług lub aplikacji prowadzących nasłuchiwanie uruchomionych na komputerze, konieczne może okazać się przełączenie komputera do trybu obsługi wyłącznie klientów, noszącego nazwę „Włączona bez wyjątków”. Przełączenie do tego trybu powoduje automatyczne zmodyfikowanie konfiguracji Zapory systemu Windows w taki sposób, aby blokowany był wszelki niechciany ruch przychodzący.

W tym trybie wszystkie wyjątki zostają tymczasowo wyłączone, a wszelkie bieżące połączenia przerwane. Każde wywołanie Zapory systemu Windows przez interfejs programowania aplikacji w celu utworzenia wyjątku jest dozwolone, a żądana konfiguracja zapory jest zapisywana, lecz zostanie włączona dopiero po przełączeniu trybu operacyjnego do normalnego działania. Wszystkie żądania nasłuchu zgłaszane przez aplikacje są także ignorowane, a okna dialogowe powiadomień nie są wyświetlane, co uniemożliwia aplikacji prowadzenie nasłuchu na porcie podczas pracy komputera w tym trybie operacyjnym.

Dlaczego ta zmiana jest ważna?

Gdy system sieciowy zostanie zaatakowany przez wirusy, robaki i innych intruzów, obiekty atakujące szukają usług, których mogłyby użyć do przeprowadzenia ataku. Tryb operacyjny „Włączona bez wyjątków” służy do szybkiego blokowania systemu w przypadku ataku, tak aby prawidłowe wyjątki nie mogły zostać użyte do obejścia ochrony zapewnianej komputerowi przez Zaporę systemu Windows.

Co zostało zmienione?

Działając w tym trybie operacyjnym, komputer nie może nasłuchiwać żądań pochodzących z sieci. Wszystkie istniejące połączenia przychodzące zostają zakończone. Realizowane są tylko połączenia wychodzące.

Jak rozwiązać te problemy?

W przypadku tego trybu operacyjnego zakłada się częściowe ograniczenie funkcjonalności spowodowane zastosowaniem ścisłych zabezpieczeń sieciowych. Pełną funkcjonalność można przywrócić, włączając ponownie tryb operacyjny Włączona. To działanie powinno zostać podjęte przez użytkownika dopiero po rozpoznaniu i wyeliminowaniu zagrożeń, ponieważ wpływa ono na obniżenie bezpieczeństwa komputera.

Wyjątki oparte na programach

Szczegółowy opis

Niektóre programy (aplikacje lub usługi) działają jednocześnie jako klienci sieci i serwery. Programy działające jako serwery muszą zezwalać na niezamówiony ruch przychodzący, ponieważ nie mają wcześniej informacji o partnerze, z którym nawiązują połączenie.

We wcześniejszych wersjach systemu Windows program musiał wywoływać interfejsy API zapory, aby spowodować otwarcie niezbędnych portów nasłuchiwania. Utrudniało to komunikację równorzędną, gdy numer portu nie był z góry znany. To od programu zależne było ponowne zamknięcie portu po zakończeniu komunikacji. Jeśli program został nieoczekiwanie zakończony, to mogły pozostać niepotrzebnie otwarte porty w zaporze.

Dodatkowy problem związany z poprzednią metodą otwierania portów w zaporze polegał na tym, że porty mogły zostać otwarte tylko wówczas, gdy programy działały w kontekście zabezpieczeń lokalnego administratora. Naruszało to podstawową zasadę zabezpieczeń informacji, zmuszając programy do działania w kontekście administracyjnym zamiast z minimalnymi wymaganymi uprawnieniami.

W systemie Windows Server 2003 z dodatkiem Service Pack 1 program wymagający nasłuchiwania sieci można umieścić na liście wyjątków Zapory systemu Windows. Jeśli program jest włączony na liście wyjątków, Zapora systemu Windows automatycznie otwiera i zamyka niezbędne porty nasłuchu, niezależnie od kontekstu zabezpieczeń programu. Aby uzyskać więcej informacji o umieszczaniu programów na liście wyjątków Zapory systemu Windows, zobacz „Jak rozwiązać te problemy?” w dalszej części tego dokumentu.

Programów, które współpracują z filtrowaniem stanowym, nie trzeba umieszczać na liście wyjątków Zapory systemu Windows. Tylko administratorzy mogą dodawać programy do listy wyjątków Zapory systemu Windows.

Dlaczego ta zmiana jest ważna? Jakie zagrożenia pozwala zminimalizować?

Jeśli program znajduje się na liście wyjątków Zapory systemu Windows, otwierane są tylko niezbędne porty i to wyłącznie na okres nasłuchiwania programu na tych portach.

Co zostało zmienione?

Jeśli program wymaga prowadzenia nasłuchu sieci, musi on być włączony na liście wyjątków Zapory systemu Windows. Jeśli nie ma go na liście, wymagany port nie zostanie otwarty przez Zaporę systemu Windows, a program nie będzie mógł odbierać niechcianego ruchu przychodzącego.

Jak rozwiązać te problemy?

Program można umieścić na liście wyjątków Zapory systemu Windows na pięć sposobów:

  1. Programowo Zaleca się, aby niezależni dostawcy oprogramowania umieszczali swoje programy na liście wyjątków Zapory systemu Windows podczas instalacji. Aby uzyskać więcej informacji o programowym dodawaniu programu do listy wyjątków, zobacz „Czy do pracy z systemem Windows Server 2003 z dodatkiem Service Pack 1 jest wymagana zmiana kodu?” w dalszej części tej sekcji.
  2. Za pomocą interfejsu wiersza polecenia Z tej metody mogą korzystać administratorzy IT, którzy zarządzają systemami Windows XP i Windows Server 2003 przy użyciu skryptów lub innych narzędzi wiersza polecenia.
  3. Za pomocą ustawień zasad grupy Ta metoda umożliwia administratorom IT dodawanie programów do listy wyjątków za pośrednictwem zasad grupy.
  4. Za pomocą powiadomienia Zapory systemu Windows Użytkownik dysponujący prawami administratora może umieścić aplikację na liście wyjątków przy użyciu powiadomienia Zapory systemu Windows.
    Podczas nasłuchiwania przez aplikację protokołu TCP lub przeprowadzania wiązania protokołu UDP z portem niewieloznacznym stos sieciowy przekazuje nazwę aplikacji i numer portu do Zapory systemu Windows. Zapora systemu Windows odszukuje nazwę aplikacji na liście wyjątków. Jeśli aplikacja znajduje się na liście wyjątków i jest włączona, w zaporze zostaje otwarty odpowiedni port. Jeśli aplikacja znajduje się na liście wyjątków, ale jest wyłączona, odpowiedni port nie zostaje otwarty. Jeśli aplikacji nie ma na liście wyjątków, użytkownicy otrzymują monit o dokonanie wyboru. Jeśli użytkownicy dysponują prawami administratora, mogą:
    • Odblokować aplikację, aby zezwolić na prowadzenie przez nią nasłuchiwania sieci. Zostaje ona dodana do listy wyjątków jako włączona, a port zostaje otwarty.
    • Zablokować możliwość nasłuchiwania sieci przez aplikację. Zostaje ona dodana do listy wyjątków jako wyłączona, a port nie zostaje otwarty.
    • Odłożyć dokonanie wyboru na później. Aplikacja nie jest umieszczana na liście wyjątków, a port nie zostaje otwarty.
    Jeśli użytkownik nie dysponuje prawami administratora, zostaje powiadomiony, że aplikacja nie może nasłuchiwać w sieci, dopóki administrator nie włączy wyjątku dla tego programu. Jeśli użytkownik zaznaczy pole wyboru Nie pytaj ponownie, aplikacja zostanie umieszczona na liście wyjątków jako wyłączona.
    noteUwaga
    Powiadomienia mogą być używane tylko w przypadku aplikacji. Nie można ich stosować do usług.
  5. Za pomocą konfiguracji ręcznej Administratorzy mogą zdecydować się na ręczne włączenie programu w panelu sterowania Zapory systemu Windows, wybierając program z listy tworzonej na podstawie wykazu programów znajdujących się w menu Start lub przeglądając zasoby w celu odszukania programu.

Wiele profilów

Szczegółowy opis

Obsługa wielu profilów w Zaporze systemu Windows umożliwia utworzenie dwóch zestawów ustawień zasad zapory: jednego używanego, gdy komputer jest połączony z zarządzaną siecią, i drugiego, który jest używany przy braku połączenia. Jeśli komputer jest połączony z siecią przedsiębiorstwa, można zastosować bardziej swobodne ustawienia, aby uruchamiać na nim specjalistyczne aplikacje. Po odłączeniu komputera od sieci firmowej można zastosować bardziej restrykcyjne ustawienia zasad zabezpieczeń, aby zwiększyć skuteczność ochrony użytkowników mobilnych.

noteUwaga
Funkcja wielu profilów Zapory systemu Windows ma zastosowanie wyłącznie do komputerów, które zostały przyłączone do domeny usługi Active Directory. Komputery, które należą do grupy roboczej, mają tylko jeden profil.

Dlaczego ta zmiana jest ważna? Jakie zagrożenia pozwala zminimalizować?

W przypadku komputerów przenośnych dobrym rozwiązaniem jest stosowanie kilku konfiguracji zapory. Często konfiguracja, która jest bezpieczna przy połączeniu z siecią przedsiębiorstwa, może nie zapewnić ochrony przed atakami z Internetu. Dlatego możliwość pozostawiania otwartych portów przy połączeniu z siecią firmową i zamykania ich w przypadku innych sieci jest bardzo ważne dla zagwarantowania, że w danym czasie są otwarte tylko niezbędne porty.

Co zostało zmienione?

Jeśli aplikacja wymaga umieszczenia na liście wyjątków Zapory systemu Windows do prawidłowego działania, może nie funkcjonować w jednej z sieci ze względu na różnice w ustawieniach zasad obu profili. Aby aplikacja działała we wszystkich sieciach, musi zostać umieszczona na liście wyjątków w obu profilach. Aby uzyskać więcej informacji na temat listy wyjątków Zapory systemu Windows, zobacz poprzednią sekcję.

Jak rozwiązać te problemy?

Jeśli komputer został dołączony do domeny, należy upewnić się, że aplikacja znajduje się na liście wyjątków w obu konfiguracjach zapory. Należy rozważyć tworzenie wyjątków przy użyciu interfejsu wiersza polecenia lub zasad grupy, ponieważ Zapora systemu Windows dostępna w Panelusterowania zapewnia dostęp tylko do aktualnie uruchomionego profilu.

Obsługa zdalnego wywoływania procedury dla usług systemowych

Szczegółowy opis

We wcześniejszych wersjach systemu Windows Zapora połączenia internetowego blokowała komunikację związaną ze zdalnym wywoływaniem procedur (RPC, remote procedure call). Chociaż można było skonfigurować Zaporę połączenia internetowego tak, aby zezwalała na ruch sieciowy do usługi mapowania punktów końcowych RPC, numer portu używanego przez serwer RPC pozostawał nieznany i aplikacja nadal nie mogła działać.

Wiele aplikacji i składników przedsiębiorstwa nie funkcjonuje, gdy usługa zdalnego wywoływania procedur nie może komunikować się za pośrednictwem sieci. Dotyczy to m.in. następujących składników:

  • Administracja zdalna, np. funkcja Zarządzanie komputerem i okno dialogowe Wybieranie: Użytkownik, Komputer lub Grupa, które jest używane przez wiele aplikacji.
  • Zdalna konfiguracja usługi Instrumentacja zarządzania Windows.
  • Skrypty zarządzające zdalnymi klientami i serwerami.

Usługa zdalnego wywoływania procedur otwiera wiele portów, a następnie udostępnia na nich wiele różnych serwerów. Następnie wysyła ona żądanie utworzenia przez Zaporę systemu Windows skojarzonych wyjątków dla tych portów. Jeśli konfiguracja Zapory systemu Windows zezwala na takie żądania, wymagane porty zostaną otwarte na czas, w którym zdalne wywoływanie procedur potrzebuje użycia wyjątku (podobnie w przypadku wyjątków dla programów).

Dlaczego ta zmiana jest ważna? Jakie zagrożenia pozwala zminimalizować?

Aby umożliwić realizację scenariuszy administracji zdalnej, wiele wdrożeń na poziomie przedsiębiorstwa wymaga domyślnego współdziałania usług systemowych używających usługi zdalnego wywoływania procedur z Zaporą systemu Windows.

Co zostało zmienione?

Domyślnie usługa zdalnego wywoływania procedur nie działa za pośrednictwem Zapory systemu Windows. Ma to wpływ na wszystkie usługi używające zdalnego wywoływania procedur. Można jednak skonfigurować w Zaporze systemu Windows zezwalanie na zdalne wywoływanie procedur na potrzeby tych usług, określając ustawienia administracji zdalnej. To ustawienie włącza także wyjątki programu mapowania punktów końcowych RPC (TCP 135), bloków komunikatów serwera (SMB) przez TCP (TCP 445) oraz żądań echa ICMP.

Jak rozwiązać te problemy?

Zobacz „Czy do pracy z systemem Windows Server 2003 z dodatkiem Service Pack 1 jest wymagana zmiana kodu?” w dalszej części tego dokumentu.

Przywracanie ustawień domyślnych

Szczegółowy opis

Dawniej użytkownik nie miał możliwości przywrócenia standardowej konfiguracji Zapory połączenia internetowego. Z biegiem czasu zapora mogła zostać skonfigurowana w celu zezwalania na niezamówiony ruch przychodzący skierowany do portów, które nie są już używane przez inne aplikacje. Może to utrudniać użytkownikowi łatwe i szybkie przywrócenie konfiguracji domyślnej.

Ta opcja pozwala użytkownikowi na przywrócenie początkowych wartości domyślnych ustawień Zapory systemu Windows. Ponadto ustawienia domyślne Zapory systemu Windows mogą być modyfikowane przez pierwotnych producentów sprzętu i firmy w celu udostępnienia niestandardowych domyślnych opcji konfiguracji.

Dlaczego ta zmiana jest ważna?

Ta opcja pozwala użytkownikom końcowym na przywrócenie początkowych, domyślnych wartości ustawień Zapory systemu Windows.

Co zostało zmienione?

Ta funkcja nie powoduje żadnych zmian w funkcjonowaniu Zapory systemu Windows. Jednak użycie tej opcji powoduje wyłączenie funkcji udostępniania połączenia internetowego i mostka sieciowego.

Obsługa instalacji nienadzorowanej

Szczegółowy opis

We wcześniejszych wersjach systemu Windows konfigurowanie Zapory połączenia internetowego nie było możliwe podczas instalacji. Utrudniało to pierwotnym producentom sprzętu i firmom wstępne skonfigurowanie Zapory połączenia internetowego przed dostarczeniem komputera do użytkownika końcowego. W systemie Windows Server 2003 z dodatkiem Service Pack 1 można skonfigurować następujące opcje Zapory systemu Windows za pośrednictwem instalacji nienadzorowanej:

  • Tryb operacyjny
  • Aplikacje na liście wyjątków Zapory systemu Windows
  • Statyczne porty na liście wyjątków
  • Opcje protokołu komunikacyjnego sterowania Internetem
  • Opcje rejestrowania

Dlaczego ta zmiana jest ważna?

Wstępne konfigurowanie Zapory systemu Windows zapewnia sprzedawcom systemu Windows i dużym przedsiębiorstwom większą elastyczność i możliwości dostosowywania Zapory systemu Windows.

Co zostało zmienione?

Ta funkcja zwiększa elastyczność konfigurowania Zapory systemu Windows. Nie powoduje ona żadnych zmian w funkcjonowaniu Zapory systemu Windows.

Składnia stosowana w celu włączenia lub wyłączenia Zapory połączenia internetowego w skrypcie instalacji nienadzorowanej została zastąpiona nową składnią dotyczącą Zapory systemu Windows.

Stosowane są następujące sekcje pliku Unattend.txt dotyczące konfiguracji Zapory systemu Windows:

  • [WindowsFirewall]
    Wymagana sekcja służąca do definiowania używanych profilów oraz ustawień pliku dziennika Zapory systemu Windows.
  • [WindowsFirewall.profile_name]
    Sekcja profilu domeny — [WindowsFirewall.Domain] — zawiera ustawienia dotyczące sytuacji, gdy komputer jest podłączony do sieci zawierającej kontrolery domeny, której jest członkiem. Sekcja profilu standardowego — [WindowsFirewall.Standard] — zawiera ustawienia dotyczące sytuacji, gdy komputer nie jest podłączony do sieci zawierającej kontrolery domeny, której jest członkiem. Aby nie używać Zapory systemu Windows, można wpisać Profiles = WindowsFirewall.TurnOffFirewall
    Sekcja [WindowsFirewall] odwołuje się do definiowanej przez użytkownika sekcji [WindowsFirewall.profile_name] w celu wprowadzenia zmian w domyślnej konfiguracji Zapory systemu Windows, która zawiera między innymi ustawienia dotyczące programów, usług, portów i protokołu ICMP.
  • [WindowsFirewall.program_name]
    Sekcja definiowana przez użytkownika umożliwiająca dodawanie programów do listy wyjątków Zapory systemu Windows.
  • [WindowsFirewall.service_name]
    Sekcja definiowana przez użytkownika umożliwiająca dodanie wstępnie zdefiniowanej usługi do listy wyjątków Zapory systemu Windows (na przykład udostępnianie plików i drukarek, architektura UPnP, usługa Pulpit zdalny lub usługa administracji zdalnej).
  • [WindowsFirewall.portopening_name]
    Sekcja definiowana przez użytkownika umożliwiająca dodawanie portów do listy wyjątków Zapory systemu Windows.
  • [WindowsFirewall.icmpsetting_name]
    Sekcja definiowana przez użytkownika umożliwiająca dodawanie określonych typów komunikatów ICMP do listy wyjątków Zapory systemu Windows.

Jaka istniejąca funkcjonalność uległa zmianie w systemie Windows Server 2003 z dodatkiem Service Pack 1?

Rozszerzona obsługa emisji i multiemisji

Szczegółowy opis

Sieciowy ruch emisji i multiemisji różni się od ruchu emisji pojedynczej, ponieważ odpowiedź pochodzi od nieznanego hosta. Z tego powodu filtrowanie stanowe zapobiega odebraniu odpowiedzi. Uniemożliwia to działanie wielu scenariuszy, od multimediów strumieniowych po odnajdowanie.

Aby umożliwić realizację tych scenariuszy, Zapora systemu Windows będzie przez 3 sekundy zezwalać na odpowiedź emisji pojedynczej z dowolnego bezpośrednio osiągalnego adresu źródłowego w tym samym porcie, z którego pochodzi ruch multiemisji lub emisji.

Dlaczego ta zmiana jest ważna? Jakie zagrożenia pozwala zminimalizować?

Pozwoli to aplikacjom i usługom, które używają emisji i multiemisji do komunikowania się, na działanie bez konieczności modyfikowania zasad zapory przez użytkownika lub samą aplikację/usługę. Jest to istotne w przypadku takich funkcji, jak NETBIOS przez TCP/IP, tak aby ważne porty, np. 135, nie były otwarte.

Co zostało zmienione? Czy istnieją jakieś zależności?

W systemie Windows Server 2003 Zapora połączenia internetowego realizowała filtrowanie stanowe ruchu emisji i multiemisji, co wymagało od użytkownika ręcznego otwierania portu w celu odebrania odpowiedzi. W systemie Windows Server 2003 z dodatkiem Service Pack 1 Zapora systemu Windows odbiera odpowiedź do ruchu emisji i multiemisji bez konieczności dodatkowego modyfikowania konfiguracji.

Zaktualizowany interfejs użytkownika

Szczegółowy opis

Interfejs użytkownika Zapory systemu Windows został zaktualizowany w systemie Windows Server 2003 z dodatkiem Service Pack 1, tak aby uwzględniał nowe opcje konfiguracyjne i integrację z Zaporą połączenia internetowego IPv6. Nowy interfejs Zapory systemu Windows pozwala użytkownikom na modyfikowanie stanów działania, konfiguracji globalnej, opcji rejestrowania i opcji protokołu komunikacyjnego sterowania Internetem.

Podstawowym sposobem udostępniania tego interfejsu użytkownika nie jest już okno dialogowe Właściwości połączenia, ale ikona w Panelu sterowania. Łącze ze starej lokalizacji jest nadal dostępne. Ponadto system Windows Server 2003 z dodatkiem Service Pack 1 tworzy łącze w folderze Połączenia sieciowe.

Dlaczego ta zmiana jest ważna?

Nowe funkcje wprowadzone w systemie Windows Server 2003 z dodatkiem Service Pack 1 spowodowały konieczność zaktualizowania interfejsu użytkownika.

Co zostało zmienione?

Interfejs użytkownika został przeniesiony z karty Zaawansowane okna dialogowego Właściwości połączenia sieciowego do ikony Zapora systemu Windows w Panelu sterowania.

Nowe metody obsługi zasad grupy

Szczegółowy opis

We wcześniejszych wersjach systemu Windows Zapora połączenia internetowego używała pojedynczego obiektu zasad grupy: Zabroń używania Zapory połączenia internetowego w sieci tej domeny DNS. W systemie Windows Server 2003 z dodatkiem Service Pack 1 każdą opcję konfiguracji globalnej można ustawić za pośrednictwem zasad grupy. Do nowych dostępnych opcji konfiguracji należą następujące opcje:

  • Zdefiniuj wyjątki programów
  • Zezwalaj na wyjątki programów lokalnych
  • Zezwalaj na wyjątki protokołu ICMP
  • Zabroń powiadomień
  • Zezwalaj na wyjątek udostępniania plików i drukarek
  • Zezwalaj na rejestrowanie

Każdy z tych obiektów można skonfigurować dla profilu firmy i profilu standardowego. Aby uzyskać więcej informacji na temat opcji zasad grupy, zobacz podręcznik dotyczący wdrażania ustawień Zapory systemu Windows w systemie Microsoft Windows XP z dodatkiem Service Pack 2 dostępny w witrynie Centrum pobierania firmy Microsoft pod adresem http://go.microsoft.com/fwlink/?linkid=23277. Ten dokument zawiera także opis nowych funkcji systemu Windows Server 2003 z dodatkiem Service Pack 1.

Dlaczego ta zmiana jest ważna?

Dla administratorów jest ważna możliwość centralnego zarządzania ustawieniami Zapory systemu Windows w celu uruchamiania w środowisku informatycznym firmy określonych aplikacji i scenariuszy.

Co zostało zmienione?

Administrator działu IT może teraz określić domyślny zestaw zasad Zapory systemu Windows. W ten sposób może włączać lub wyłączać aplikacje i scenariusze. Zapewnia to pełniejszą kontrolę, ale zasady nie zmieniają podstawowej funkcjonalności Zapory systemu Windows.

Jakie ustawienia zostały dodane lub zmienione w systemie Windows Server 2003 z dodatkiem Service Pack 1?

 

Nazwa ustawienia Lokalizacja Poprzednia wartość domyślna Wartość domyślna Dopuszczalne wartości

Chroń wszystkie połączenia sieciowe

(Obiekt zasad grupy) Konfiguracja komputera\Szablony administracyjne\Sieć\Połączenia sieciowe\Zapora systemu Windows

Nie dotyczy

Nie skonfigurowano

Włączone

Wyłączone

Nie zezwalaj na wyjątki

(Obiekt zasad grupy) Konfiguracja komputera\Szablony administracyjne\Sieć\Połączenia sieciowe\Zapora systemu Windows

Nie dotyczy

Nie skonfigurowano

Włączone

Wyłączone

Zdefiniuj wyjątki programów

(Obiekt zasad grupy) Konfiguracja komputera\Szablony administracyjne\Sieć\Połączenia sieciowe\Zapora systemu Windows

Nie dotyczy

Nie skonfigurowano

Włączone [ścieżka_programu] [zakres]

Wyłączone

Zezwalaj na wyjątki programów lokalnych

(Obiekt zasad grupy) Konfiguracja komputera\Szablony administracyjne\Sieć\Połączenia sieciowe\Zapora systemu Windows

Nie dotyczy

Nie skonfigurowano

Włączone

Wyłączone

Zezwalaj na wyjątek administracji zdalnej

(Obiekt zasad grupy) Konfiguracja komputera\Szablony administracyjne\Sieć\Połączenia sieciowe\Zapora systemu Windows

Nie dotyczy

Nie skonfigurowano

Włączone

Wyłączone

Zezwalaj na wyjątek udostępniania plików i drukarek

(Obiekt zasad grupy) Konfiguracja komputera\Szablony administracyjne\Sieć\Połączenia sieciowe\Zapora systemu Windows

Nie dotyczy

Nie skonfigurowano

Włączone

Wyłączone

Zezwalaj na wyjątki protokołu ICMP

(Obiekt zasad grupy) Konfiguracja komputera\Szablony administracyjne\Sieć\Połączenia sieciowe\Zapora systemu Windows

Nie dotyczy

Nie skonfigurowano

Włączone

Po włączeniu wybierz, na które z poniższych typów komunikatów chcesz zezwolić:

[Zezwalaj na nieosiągalność miejsca przeznaczenia danych wyjściowych]

[Zezwalaj na wygaszanie źródła wychodzącego]

[Zezwalaj na przekierowywanie]

[Zezwalaj na przychodzące żądanie echa]

[Zezwalaj na przekroczenie limitu czasu danych wyjściowych]

[Zezwalaj na problem z parametrem wychodzącym]

[Zezwalaj na przychodzące żądanie sygnatury czasowej]

[Zezwalaj na przychodzące żądanie maski]

[Zezwalaj na za duże pakiety wychodzące]

Wyłączone

Zezwalaj na wyjątek pulpitu zdalnego

(Obiekt zasad grupy) Konfiguracja komputera\Szablony administracyjne\Sieć\Połączenia sieciowe\Zapora systemu Windows

Nie dotyczy

Nie skonfigurowano

Włączone

Wyłączone

Zezwalaj na wyjątek architektury UPnP

(Obiekt zasad grupy) Konfiguracja komputera\Szablony administracyjne\Sieć\Połączenia sieciowe\Zapora systemu Windows

Nie dotyczy

Nie skonfigurowano

Włączone

Wyłączone

Zabroń powiadomień

(Obiekt zasad grupy) Konfiguracja komputera\Szablony administracyjne\Sieć\Połączenia sieciowe\Zapora systemu Windows

Nie dotyczy

Nie skonfigurowano

Włączone

Wyłączone

Zezwalaj na rejestrowanie

(Obiekt zasad grupy) Konfiguracja komputera\Szablony administracyjne\Sieć\Połączenia sieciowe\Zapora systemu Windows

Nie dotyczy

Nie skonfigurowano

Włączone

Wyłączone

Zabroń odpowiedzi emisji pojedynczej na żądania emisji lub multiemisji

(Obiekt zasad grupy) Konfiguracja komputera\Szablony administracyjne\Sieć\Połączenia sieciowe\Zapora systemu Windows

Nie dotyczy

Nie skonfigurowano

Włączone

Wyłączone

Zdefiniuj wyjątki portów

(Obiekt zasad grupy) Konfiguracja komputera\Szablony administracyjne\Sieć\Połączenia sieciowe\Zapora systemu Windows

Nie dotyczy

Nie skonfigurowano

Włączone

Wyłączone

Zezwalaj na wyjątki portów lokalnych

(Obiekt zasad grupy) Konfiguracja komputera\Szablony administracyjne\Sieć\Połączenia sieciowe\Zapora systemu Windows

Nie dotyczy

Nie skonfigurowano

Włączone

Wyłączone

Czy do pracy z systemem Windows Server 2003 z dodatkiem Service Pack 1 jest wymagana zmiana kodu?

Zaleca się konfigurowanie Zapory systemu Windows do pracy z systemem Windows Server 2003 z dodatkiem Service Pack 1 przy użyciu Kreatora konfiguracji zabezpieczeń. Kreator konfiguracji zabezpieczeń został zaprojektowany w taki sposób, aby uwzględniał wymagania różnych ról serwera i obciążenia systemowe oraz odpowiednio konfigurował ustawienia zapory. W przypadku ręcznego konfigurowania ustawień zapory należy zapoznać się z poniższymi informacjami na temat wpływu ustawień na aplikacje.

Połączenia wychodzące

Opis

Typowe komputery domowe i biurowe są w sieci klientami. Oprogramowanie działające na komputerze nawiązuje połączenie z serwerem (połączenie wychodzące) i otrzymuje od niego odpowiedzi. Zapora systemu Windows zezwala na wszystkie połączenia wychodzące, ale stosuje reguły do tych typów komunikacji, których odbiór jest dozwolony na komputerze.

Do zadań związanych z aplikacjami firmy Microsoft, które mogą działać w ten sposób, należą:

  • Żeglowanie w sieci Web przy użyciu programu Microsoft Internet Explorer.
  • Sprawdzanie poczty e-mail w programie Outlook Express.
  • Prowadzenie rozmów przy użyciu programu MSN Messenger lub Windows Messenger.

Wymagana akcja

Żadna. Zapora systemu Windows automatycznie zezwala na wszystkie połączenia wychodzące, niezależnie od programu i kontekstu użytkownika.

noteUwaga
Jeśli komputer wysyła do komputera docelowego żądanie zainicjowania sesji TCP, otrzyma odpowiedź tylko od tego komputera docelowego. Jeśli komputer wysyła pakiety UDP, Zapora systemu Windows przez około 90 sekund zezwala na odbieranie odpowiedzi UDP z dowolnego adresu IP, kierowanych do portu, z którego pakiety UDP były wysyłane. Zapora systemu Windows zezwala na odpowiedzi emisji pojedynczej do ruchu emisji i multiemisji przez 3 sekundy, jeśli odpowiedzi są kierowane do portu, z którego ruch był wysyłany, i pochodzą z adresów IP w tej samej podsieci, w której znajduje się komputer. Działaniem tym steruje odpowiednie ustawienie zapory, które jest domyślnie włączone.

Niechciane połączenia przychodzące do aplikacji

Opis

Ten scenariusz dotyczy aplikacji, która wykonuje operację nasłuchiwania gniazda TCP lub pomyślnie przeprowadza powiązanie z określonym gniazdem UDP za pośrednictwem technologii Winsock. Zapora systemu Windows może w tym wypadku automatycznie otwierać i zamykać porty zależnie od wymagań aplikacji.

Do zadań związanych z aplikacjami firmy Microsoft, które mogą działać w ten sposób, należą:

  • Korzystanie z dźwięku i wideo w programie MSN Messenger lub Windows Messenger.
  • Przesyłanie plików przy użyciu programu MSN Messenger lub Windows Messenger.
  • Hosting gier wieloosobowych.

Wymagana akcja

W przypadku tworzenia aplikacji wymagających nasłuchiwania w jednym lub większej liczbie portów należy zaktualizować kod w taki sposób, aby użytkownicy byli monitowani, czy chcą zezwolić aplikacji na otwieranie portów w zaporze:

  • Jeśli użytkownik wyrazi zgodę, aplikacja może użyć interfejsu API INetFwAuthorizedApplication w celu dodania jej do kolekcji aplikacji autoryzowanych jako włączona.
  • Jeśli użytkownik nie wyrazi zgody, aplikacja może użyć interfejsu API INetFwAuthorizedApplication w celu dodania jej do kolekcji aplikacji autoryzowanych jako wyłączona.

Jeśli interfejs API INetFwAuthorizedApplication jest używany w celu dodania aplikacji do kolekcji aplikacji autoryzowanych, wymagane są następujące wartości:

  • Nazwa pliku obrazu. Jest to plik, który wywołuje technologię Winsock w celu nasłuchiwania ruchu w sieci. Należy określić ścieżkę w pełni kwalifikowaną, może ona jednak zawierać zmienne środowiskowe.
  • Przyjazna nazwa. Jest to opis aplikacji, który będzie widoczny w interfejsie użytkownika Zapory systemu Windows.

Aby uzyskać więcej informacji o interfejsie API INetFwAuthorizedApplication, zobacz „INetFwAuthorizedApplication” w zestawie SDK (Software Development Kit) platformy firmy Microsoft w witrynie MSDN w sieci Web pod adresem http://go.microsoft.com/fwlink/?LinkId=32000.

Zapora systemu Windows monitoruje działanie technologii Winsock w celu uzyskania informacji o rozpoczynaniu i kończeniu nasłuchu na portach przez aplikacje. W efekcie porty są automatycznie otwierane i zamykane dla aplikacji, jeśli odpowiadające im wpisy na liście wyjątków Zapory systemu Windows zostały włączone. Oznacza to, że aplikacje używające technologii Winsock nie wymagają podjęcia żadnej akcji w celu otwierania i zamykania portów w zaporze.

noteUwaga
Aby aplikacja mogła zostać dodana do listy wyjątków Zapory systemu Windows, musi być uruchomiona w kontekście użytkownika dysponującego prawami administratora. Porty są automatycznie otwierane i zamykane w zaporze dla dozwolonych aplikacji używających technologii Winsock, niezależnie od kontekstu użytkownika, w jakim te aplikacje działają. Przed dodaniem aplikacji do kolekcji INetFwAuthorizedApplications wymagana jest zgoda użytkownika. Programu Svchost.exe nie można dodać do kolekcji INetFwAuthorizedApplications.

Połączenia przychodzące dla usług korzystających z portów stałych

Opis

Pomimo zalecania deweloperom używania interfejsów API INetFWAuthorizedApplication na potrzeby wszelkich innych scenariuszy, w przypadku usług prowadzących nasłuch na ustalonych portach zaleca się używanie w Zaporze systemu Windows globalnych interfejsów API do obsługi portów. Te porty są zawsze otwarte, więc ich dynamiczne otwieranie przynosi znikome korzyści. Użycie globalnych interfejsów API do obsługi portów daje użytkownikom w zamian możliwość dostosowywania ustawień zapory dla tych portów stałych.

Do usług, które wymagają połączeń przychodzących, należą:

  • Udostępnianie plików i drukarek
  • Architektura UPnP
  • Pulpit zdalny

Wymagana akcja

Jeśli usługa wymaga nasłuchiwania na porcie stałym, zalecane jest zapytanie użytkownika o zezwolenie na otwarcie portów w zaporze. Najlepiej, gdyby odbywało się to w czasie instalacji usługi.

Jeśli użytkownik wyrazi zgodę, usługa powinna przy użyciu interfejsu API INetFwOpenPort dodać do Zapory systemu Windows reguły dla jednego lub większej liczby portów stałych wymaganych przez usługę. Te reguły powinny być włączone.

Jeśli użytkownik nie wyraża zgody, usługa także powinna przy użyciu interfejsu API INetFwOpenPort dodać do Zapory systemu Windows reguły otwierania jednego lub wielu portów stałych wymaganych przez usługę. Te reguły jednak nie powinny być włączone.

Jeśli interfejs API INetFwOpenPort jest używany w celu dodania otwarcia portu do Zapory systemu Windows, wymagane są następujące wartości:

  • Protokół. Określa protokół sieciowy używany przez usługę: TCP lub UDP.
  • Port. Jest to numer portu, który ma zostać otwarty.
  • Przyjazna nazwa. Jest to opis otwarcia portu, który będzie widoczny w interfejsie użytkownika Zapory systemu Windows.

Aby uzyskać więcej informacji o interfejsie API INetFwOpenPort, zobacz „InetFwOpenPort” w zestawie Platform Software Development Kit w witrynie MSDN w sieci Web pod http://go.microsoft.com/fwlink/?LinkId=35316.

Jeśli usługa jest wyłączona, powinna używać interfejsu API INetFwOpenPort w celu zamykania otwartych przez siebie portów statycznych, gdy tylko jest to możliwe. Operacja ta jest łatwa do wykonania, jeśli dana usługą jest jedyną, która używa tych portów. Jeśli jednak usługa potencjalnie współużytkuje porty z innymi usługami, nie powinna zamykać portów, dopóki nie potwierdzi, że nie są one używane przez inną usługę.

Aby aplikacja mogła statycznie otwierać porty w Zaporze systemu Windows, musi działać w kontekście użytkownika dysponującego prawami administratora.

noteUwaga
W przypadku statycznego otwierania portów za pośrednictwem interfejsu API INetFw usługa powinna ograniczać się do ruchu przychodzącego z lokalnej podsieci, gdy tylko jest to możliwe. Usługi powinny uzyskać zgodę użytkownika przed statycznym otwarciem portów w Zaporze systemu Windows. Usługa nie powinna nigdy otwierać automatycznie portów bez uprzedniego ostrzeżenia użytkownika.

Połączenia przychodzące za pośrednictwem portów RPC i DCOM dla usług systemowych

Opis

Niektóre usługi systemowe wymagają użycia portów RPC (za pośrednictwem modelu DCOM lub bezpośrednio przy użyciu usługi zdalnego wywoływania procedur) na potrzeby połączeń przychodzących. Z uwagi na poważne konsekwencje otwierania portów RPC dla bezpieczeństwa systemu, te porty są traktowane jako przypadek specjalny i deweloperzy powinni włączać usługę zdalnego wywoływania procedur dla usług systemowych za pośrednictwem Zapory systemu Windows tylko wówczas, gdy jest to absolutnie konieczne.

Wymagana akcja

Zaporę systemu Windows można skonfigurować tak, aby porty RPC i DCOM dla usług systemowych były otwierane i zamykane automatycznie. Jednak domyślnie usługa zdalnego wywoływania procedur jest blokowana przez Zaporę systemu Windows. Oznacza to, że aplikacje, które używają portów RPC do przesyłania danych do usług systemowych, będą wymagały odpowiedniego skonfigurowania Zapory systemu Windows. Jeśli aplikacja wymaga włączenia tej funkcji, wymagane jest monitowanie użytkownika o zezwolenie na otwarcie portów w zaporze. Najlepiej, gdyby odbywało się to podczas instalacji.

Jeśli użytkownik wyraża zgodę na otwarcie portów RPC, usługa powinna użyć interfejsu API INetFwRemoteAdminSettings w celu otwarcia wymaganych portów.

Jeśli użytkownik nie wyraża zgody na otwarcie portów RPC, aplikacja lub usługa nie powinna modyfikować konfiguracji Zapory systemu Windows w celu zezwolenia na otwieranie portów RPC.

Aby uzyskać więcej informacji o interfejsie API INetFwRemoteAdminSettings, zobacz „INetFwAuthorizedApplication” w witrynie MSDN w sieci Web pod adresem http://go.microsoft.com/fwlink/?linkid=32000 i w spisie treści kliknij łącze dotyczące właściwości RemoteAddresses interfejsu InetFwAuthorizedApplication.

noteUwaga
Aby włączyć lub wyłączyć automatyczne otwieranie portów RPC w Zaporze systemu Windows, aplikacja lub usługa musi działać w kontekście użytkownika dysponującego prawami administratora. Aplikacja lub usługa powinna podejmować próby zezwolenia na otwarcie portów RPC za pośrednictwem Zapory systemu Windows tylko wówczas, gdy jest to absolutnie konieczne. Jeśli otwarcie portów RPC jest już dozwolone, aplikacja lub usługa nie musi wykonywać żadnych czynności w celu prawidłowego funkcjonowania. Otwarte porty można ustalić za pomocą interfejsu API IsPortAllowed. Ustawienie portów RPC ma zastosowanie tylko w przypadku serwerów RPC, które działają w kontekście systemu lokalnego, usługi sieciowej lub usługi lokalnej. Porty otwarte przez serwery RPC działające w innych kontekstach użytkownika nie zostaną włączone za pośrednictwem tego ustawienia. Takie serwery RPC powinny używać listy wyjątków Zapory systemu Windows.
Czy oceniasz te materiały jako pomocne?
(Pozostało znaków: 1500)
Dziękujemy za opinię.

Zawartość społeczności

Pokaż:
© 2014 Microsoft